Wirusy w natarciu!
Data: 29-01-2004 o godz. 10:25:11
Temat: Technikalia portalowe


Redakcja Pogawędek Wędkarskich rozsyła wirusa! Panowie Redaktorzy - wy, tacy doświadczeni w pracy z komputerami rozsyłacie wirusy użytkownikom! Wstydźcie się! - taką mniej więcej informację otrzymałem od jednego z użytkowników. Rzecz wcale jednak nie jest taka prosta jak się wydaje, tym bardziej, że nasz adres mailowy nie jest prawdziwym kontem e-mailowym, a tzw, aliasem. Abstrahując od tego co to znaczy - na pewno nie może służyć do wysyłania poczty.



Od dwóch dni po infostradzie przewala się potworna lawina maili, generowanych przez wirusa Mydoom. Jest to jedna z największych masowych infekcji w historii Internetu, a wykorzystuje ona zarówno dziury oprogramowania, jak i niefrasobliwość użytkowników sieci. Co gorsza - wirus potrafi bardzo sprytnie udawać, że wysłał go ktoś inny. A oto jak to wszystko się odbywa.

Zaczyna się od niewinnego maila. Do skrzynki mailowej użytkownika (oznaczmy go nazwą A) trafia list o nic nie mówiącym tytule (test, hi, hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status, Error). Treścią tego listu jest ciąg znaków nie do odczytania lub jeden z poniższych tekstów:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

W samym tym fakcie nie ma jeszcze żadnego dramatu, ale z tak spreparowaną wiadomością przesyłany jest załącznik - także o niewiele mówiącej nazwie (document, readme, doc, text, file, data, test, message, body). Rozszerzenie tego załącznika to zazwyczaj jedno z następujących: pif, scr, exe, cmd, bat, zip.

Teraz wszystko zależy od użytkownika i konfiguracji jego systemu pocztowego. Najważniejsze jest bowiem, aby po otrzymaniu podejrzanej wiadomości natychmiast ją skasować, bez próby uruchomienia załącznika. Pytanie tylko - jak to zrobić - skoro 90% Internautów używa programu Outlook Express, a z tych 90% znowu 90% bazuje na ustawieniach standardowych. Dają one komfort przy przeglądaniu poczty, bo kliknięcie myszką na tytuł wiadomości (górne okienko) powoduje wyświetlenie treści w okienku podglądu (dolne okienko). Jest to niestety równocześnie fatalna dziura, pozwalająca w pewnej specyficznej sytuacji na uruchomienie załącznika, co wykorzystują wirusy właśnie.

A jeśli nawet załącznik nie uruchomi się sam - to wielu z nas, szczególnie tych mniej doświadczonych, będzie próbowało za wszelką cenę sprawdzić, cóż to za tajemnicza wiadomość przyszła. Tym bardziej, że często przychodzi ona od osoby, znajdującej się w kręgu znajomych. I w ten sposób sami otwieramy puszkę Pandory.

Wróćmy jednak do użytkownika A, który otrzymał podejrzaną przesyłkę. Załóżmy, że na skutek złej konfiguracji poczty, bądź nieświadomego działania użytkownika, załącznik z wirusem zostaje uruchomiony. Cóż dzieje się dalej? Po pierwsze wirus tworzy sobie zaplecze techniczne, tworząc sobie obóz na komputerze użytkownika. Tworzy odpowiednie pliki na dysku twardym, udając dla utrudnienia nazwy i rozszerzenia plików systemowych. Następnie dokonuje modyfikacji rejestru (ustawień startowych) tak, aby program wirusa uruchamiał się przy każdym włączeniu komputera. Wreszcie uruchamia własny mechanizm wysyłania poczty (SMTP) po to, aby uniezależnić się od programu pocztowego użytkownika.

Kiedy logistyka jest już zabezpieczona, wirus zaczyna panoszyć się w komputerze. Najpierw dokonuje stosownego zwiadu, przeglądając wszelkie możliwe pliki i wychwytując z nich adresy poczty elektronicznej. Są to zarówno adresy ze skrzynek pocztowych użytkownika A, jak i z witryn internetowych, które akurat przegląda. W ten sposób - jeśli użytkownik A ma w swojej książce adresowej adresy użytkownika B i C - to oba trafiają do bazy adresowej wirusa. Tak samo - jeżeli na witrynie internetowej, którą przegląda użytkownik A, znajduje się adres e-mailowy użytkownika D - w pewnych specyficznych sytuacjach dochodzi do dopisania adresu D do bazy wirusa. W ten sposób wirus tworzy sobie listę ofiar.

Kiedy ta lista jest już odpowiednio długa, rozpoczyna się atak. I to atak wyjątkowo perfidny. Pierwszym jego etapem jest bowiem wybór ofiary z bazy adresowej. Wirus wybiera sobie losowo osobę z bazy adresowej, utworzonej na komputerze użytkownika A. Zwróćcie uwagę, że może to być niczego nieświadomy użytkownik B, C lub D. Następnie rozpoczyna się procedura wysyłania maila z załącznikiem do wszystkich osób z bazy adresowej wirusa. Jako nadawcę wiadomości program rozsyłający wirusa wstawia wybraną wcześniej ofiarę. W ten sposób z komputera użytkownika A wysyłany jest pakiet zawirusowanych maili. Ich "udawanym" nadawcą może być np. użytkownik B, a maila otrzymają użytkownicy C i D. Jeżeli i oni uruchomią załącznik - kółko się zamyka, a wirus mnoży w nieprawdopodobnym tempie, co ma miejsce właśnie w ostatnich dniach.

Podmiana adresów nadawcy jest jednym z najbardziej perfidnych mechanizmów wirusa. Z jednej strony powoduje przypisywanie winy za rozsyłanie wirusa komuś, kto w ogóle nie miał z nim do czynienia. Z drugiej zaś - utrudnia odnalezienie faktycznie zainfekowanego komputera. To wszystko nie jest jeszcze najgorsze. Prawdziwy test będzie czekał nas 1 lutego. Wtedy to właśnie wirus uruchomi pewne procedury destrukcyjne i tak jak zdarzyło się to już kilka razy wcześniej, spowoduje zapewne globalne problemy systemom komputerowym jak świat długi i szeroki.

Cóż zatem możemy zrobić, aby uniknąć zarażenia wirusem? Po pierwsze - nie otwierać podejrzanej poczty i załączników. Po drugie, darować sobie bezmyślne przesyłanie tzw. "śmiesznotek internetowych" - co jest ulubionym zajęciem nudzących się przy komputerze sekretarek, a służy przy okazji tworzeniu gigantycznych list adresowych w książkach programów pocztowych. Po trzecie - zabezpieczyć odpowiednio program Outlook Express, aby sam nie uruchamiał załączników. W tym celu należy wyłączyć okienko automatycznego podglądu (Widok -> Układ... -> odznaczamy opcję Pokaż okienko podglądu). Po czwarte wreszcie i najważniejsze - sprawdzić system pod kątem wirusów, co można zrobić na stronie:
http://skaner.mks.com.pl

Straszył i radził
Esox







Artykuł jest z
www.pogawedki.wedkarskie.pl

Adres tego artykułu to:
www.pogawedki.wedkarskie.pl/modules.php?name=News&file=article&sid=706